Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Microsoft Windows: Insecure by Design?

Olaf19 / 23 Antworten / Baumansicht Nickles

Hallo zusammen!

Unter o.g. Überschrift - das Fragezeichen dahinter stammt allerdings von mir! - erschien folgender Artikel auf der Webseite der Washington Post:

http://www.washingtonpost.com/wp-dyn/articles/A34978-2003Aug23.html

Um eins gleich vorweg zu nehmen: Wer hinter dieser Überschrift tiefere Einblicke in die Macken der Systemarchitektur von Windows vermutet, wird enttäuscht. Letztlich dreht sich alles darum, dass einige Default-Einstellungen in Windows der Sicherheit abträglich sind und dass es an den Usern ist, daran etwas zu ändern. Dennoch ist der Artikel imho recht lesenswert und dazu in leicht verständlichem Englisch geschrieben; hier ein Auszug:

The usual theory has been that Windows gets all the attacks because almost everybody uses it... Even if that changed, Windows would still be an easier target. In its default setup, Windows XP on the Internet amounts to a car parked in a bad part of town, with the doors unlocked, the key in the ignition and a Post-It note on the dashboard saying, "Please don't steal this".

Begründet wird dieser launige Vergleich unter anderem damit:

Windows XP Home Edition, ships with five ports open, behind which run "services" that serve no purpose except on a computer network... In comparison, Mac OS X ships with zero ports open to the Internet.

Als Sicherheitsmaßnahmen werden "die üblichen Verdächtigen" empfohlen: Virenscanner, Firewall, regelmäßige Updates. So weit also nichts Neues.

Jetzt aber mal eine ganz andere Frage: Warum ist es eigentlich so schwer, oder gar unmöglich, ein Betriebssystem so zu konstruieren, dass es - schlicht ausgedrückt - ausschließlich das tut, was sein Benutzer will? Wieso ist es prinzipiell möglich, dass wildfremde Leute in meinen Rechner "herumhuren", nur weil ich zufällig gerade mit dem Internet verbunden bin? Warum muss ich ständig den neuesten Security-Updates hinterher hecheln, um das Schlimmste zu verhindern - wieso besorgt das nicht die Systemarchitektur?

Damit wir uns nicht missverstehen: Dass Systeme und Programme Fehler haben und deswegen nicht immer so funktionieren wie wir wollen ist schon klar - aber wieso lässt sich nicht wenigstens ein für allemal unterbinden, dass jemand anders als derjenige, der vor dem Rechner sitzt und ihn bedient, Zugriff bekommt?

Anders ausgedrückt: Wofür gibt es eigentlich Fernwartungstools wie VNC oder PCAnywhere, wenn irgendwelche Skriptkiddies auch ohne diese Hilfsmittel mit einem ungeschützten System machen können was sie wollen?

Danke im voraus für Euren Input!

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Grossadministrator Olaf19 „Microsoft Windows: Insecure by Design?“
Optionen

Ich weiß nicht, wie die darauf kommen. Ich habe Home und Pro im Einsatz, selbst ohne die Xp-Firewall finder der Online-Scan von Sygate EINEN einzigen offenen Port.
Nun ist es natürlich so, das sich die WP um politische Dinge verdient gemacht hat (Watergate), was aber nicht heißt, das die Leute Ahung von IT haben. Genau wie bei uns der Spiegel, bei manchen nicht-Politik-Themen frage ich mich, wieso die jemanden ohne jegliche Kenntnisse schreiben lassen.

bei Antwort benachrichtigen
HADU Olaf19 „Microsoft Windows: Insecure by Design?“
Optionen

Hi Olaf,

>> Warum ist es eigentlich so schwer, oder gar unmöglich, ein Betriebssystem so zu konstruieren, dass es - schlicht ausgedrückt - ausschließlich das tut, was sein Benutzer will?

Ganz einfach: 99,99 % der User wissen gar nicht was sie wollen. Klar - sie wollen ins Internet, sie wollen Spielen, aber sie wissen gar nicht, was eine DFÜ-Verbindung ist kennen TCP/IP nur vom hörensagenn, usw.
Wenn der PC also nur das tun würde, was die User wollen, dann würde das Teil gar nicht laufen ... Entweder die Betriebssystemprogrammierer erahnen was die User machen möchten und automatisieren das so weit wie möglich oder das Betriebssysem wird gar nicht erst gekauft.
Oder wie sieht es mit den Marktanteilen des "zero ports open" Mac OS aus? Wird das in Prozent oder noch in Promille gemessen?
Die XP-Firewall ist bei DFÜ-Verbindungen by default eingeschaltet. Nur wenn man T-Online oder AOL-Software verwendet, ist sie deaktiviert. Ist das jetzt die Schuld von MS? Und wenn Eselmist und ähnliches nicht laufen wird die Firewall auch erst mal abgeschaltet. Auch der Fehler von MS?

>> Warum muss ich ständig den neuesten Security-Updates hinterher hecheln, um das Schlimmste zu verhindern - wieso besorgt das nicht die Systemarchitektur?

Wurde unlängst für den XP-Nachfolger Longhorn angedacht - und die Welle der Empörung schwappte wieder über: Der PC verbindet sich automatisch mit Microsoft? Und alles Schreit von Ausspionieren und installiert Tools, die das verhindern und fragen dann in Foren nach, warum nichts mehr funktioniert ...

>> Damit wir uns nicht missverstehen: Dass Systeme und Programme Fehler haben und deswegen nicht immer so funktionieren wie wir wollen ist schon klar - aber wieso lässt sich nicht wenigstens ein für allemal unterbinden, dass jemand anders als derjenige, der vor dem Rechner sitzt und ihn bedient, Zugriff bekommt?

Das geht bei allen Betriebssystemen nur, indem Du den Stecker ins Internet / Netzwerk ziehst! Jedes Betriebssystem hat Macken - und wenn Du nicht bei jedem Betriebssystem die Sicherheitsupdates installierst, dann ist es löchrig wie schweizer Käse.
Weisst Du wie man einen Root-Zertifikatsserver sichert? Man installiert den Server auf einem Laptop, zertifiziert dann ein paar untergeordnete Zertifikatsstellen, fährt das Teil herunter und schließt es in einen feuersicheren Tresor. Das ist kein Spaß - das macht man so wirklich.
Ich vergleiche das gerne mit der A-Klasse von Mercedes. ALLE Autos dieser Bauart stürzen beim Elchtest ohne elektronische Unterstützung um. Nur bei den anderen interessiert es keinen...


Gruß
HADU


bei Antwort benachrichtigen
Olaf19 HADU „Hi Olaf, Warum ist es eigentlich so schwer, oder gar unmöglich, ein...“
Optionen

Hi hadu,

erst einmal vielen Dank für Deine besonders ausführliche Antwort!

"Zero Ports" habe ich so verstanden, dass unter MacOS von den 65.535 Ports kein einziger per Default geöffnet ist, d.h. dass ein Browser oder Mail-Client ihn erst bei Bedarf öffnen muss und hinterher wieder verschließt (hoffentlich :-).

Dass irgendein Rotz von AOL oder t-online die XP-Firewall abschaltet ist natürlich ein Witz und keinesfalls die Schuld von Microsoft. Meine Frage tendiert aber mehr in eine grundsätzliche Richtung: Warum sind solche Maßnahmen überhaupt nötig? Warum merkt mein Rechner nicht, dass nicht mit Maus und Tastatur auf ihn zugegriffen wird, sondern durchs Internet? Warum ist das technisch überhaupt möglich? Daher auch folgendes Missverständnis:

> Warum muss ich ständig den neuesten Security-Updates hinterher hecheln, um das Schlimmste zu verhindern - wieso besorgt das nicht die Systemarchitektur?

Damit meinte ich keineswegs, dass das alles automatisch gehen soll - im Gegenteil, ich hasse es, wenn heimlich im Hintergrund irgendetwas herumrödelt, ohne dass ich etwas davon bemerke. Gemeint war aber:

Warum ist die Systemarchitektur nicht so gestrickt, dass Programme wie z.B. Firewalls überflüssig werden? Es ist doch viel besser, ein Problem an der Wurzel zu packen, als an den Symptomen herumzudoktern. Dass eine Firewall böhze Pakete einfach DROPpt, ist zwar schön - aber warum hätten diese Pakete ohne Firewall überhaupt eine Chance, meinem System zu schaden?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
HADU Olaf19 „So war das nicht gemeint ;-)“
Optionen

>> Warum merkt mein Rechner nicht, dass nicht mit Maus und Tastatur auf ihn zugegriffen wird, sondern durchs Internet?

Und woher soll der Rechner wissen, dass ich das nicht will? Internet heisst nicht nur Daten zu holen, sondern auch Daten anzubieten. Das ist doch die Grundlage und TCP/IP verwirklicht das.
Wie will ich aber eine Webseite anbieten, wenn ich keine Zugriffe aus dem Internet zulasse?
Und wie erkläre ich meinem Rechner, das der eine Zugriff aus dem Internet kommt, der andere aber vom Server aus meinem Firmennetz? Oder vom anderen Rechner in meinem privaten Netz, der nur auf eine Dateifreigabe zugreift. Oder nur über meinen Drucker druckt ...

Gruß
HADU

bei Antwort benachrichtigen
Olaf19 HADU „So war das nicht gemeint ;-)“
Optionen

Wie gesagt: Wer eine Fernsteuerung seines Systems wollte, könnte ja VNC oder PCAnywhere installieren. Dass eine Internetverbindung immer aus Senden _und_ Empfangen besteht ist schon klar - aber warum bedeutet die Möglichkeit, Datenpakete zu empfangen gleichzeitig eine Chance für andere, z.B. Programme zu installieren, zusätzliche Ports zu öffnen etc. pp.?

Es wundert mich einfach, dass es so schwierig ist, das auseinander zu halten bzw. eine entsprechende sichere Systemarchitektur zu verwirklichen.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Herman Munster Olaf19 „So war das nicht gemeint ;-)“
Optionen

Nun, alle Wins funktionieren so schlecht, weil ihnen keinerlei Bits&Bytes verinnerlicht wurden, die es in die Lage versetzen könnten, etwas dagegen zu unternehmen. Ganz ohne Zweifel erkennt das Win, daß die Daten nicht von der Tastatur, sondern ausm Internet kommen, schließlich kann es diese Infos ja korrekt umsetzen - nur: es SOLL nichts dagegen tun. NIEMAND hat Code programmiert, Win zu verbieten, auf Tastaturgedrücke aus dem Internet nicht zu reagieren.

No features - only bugs.

Im Gegenteil noch: durch z.B. diesen kriminellen ActiveX-Schiet sind ja gerade vorsätzlich alle Möglichkieten offengelegt worden, daß das Win auf keinen Fall auf einen Tastendruck aus dem Internet NICHT reagiert.

ALLES, was in irgendeinem Win nicht funktioniert, SOLL es auch nicht.

Und warum sollten die M$-Nulpen daran auch etwas ändern? Billy´s Butze macht Umsätze und Gewinne wie mehrere afrikanische Staaten zusammengenommen - mit Progs, die nur aus Fehlern bestehen. Er schlägt los, was auch immer er für Mist in die Welt hiansuskotzt. ALLES wird begierig geladen, gekauft und auch geklaut. Absolut kein Grund, kein Druck, die Qualität seiner Produkte im Sinne der Anwender zu verbessern.

Es ist genau wie mit dem "Dualen System": niemand WILL, daß es funktioniert. Nur die Kosten sollen abgewälzt werden, von den Verursachern nochmal zu den Endkunden. Im Gegenteil: seit dem DS ist die Altpapierindustrie alten Stils tot.

bei Antwort benachrichtigen
Gurus Herman Munster „...von Billy schon...“
Optionen

Herman,
es ist 10 vor 1h
lass den Alk weg und poste Morgen nochmal..

;~))

bei Antwort benachrichtigen
freshi74 Olaf19 „Microsoft Windows: Insecure by Design?“
Optionen

hi olaf,

ich glaube microsoft produkte sind nicht mehr oder weniger sicher als andere (naja, vielleicht ein wenig weniger :-)). es ist aber eben so, dass wenn ich mir ein linux installiere und es nicht konfiguriere habe ich auch einen "unsicheren" rechner. und so sieht es eben auch mit ms aus. ausserdem geht ms dazu über, z.b. beim server 2003 erst mal alles zuzumachen was die sicherheit angeht, d.h. keine offenen default einstellungen.

es gehört eben doch etwas mehr dazu einen rechner zu "administrieren" als treiber zu installieren und benutzer anzulegen.

ausserdem kommt noch dazu, dass ms os von vielen leuten direkt nach fehler dursucht wird (da haben sich wohl einige spezialisiert) und somit natürlich auch mehrere entdeckt werden (und veröffentlicht). das ist bei open source natürlich auch der fall, nur glaube ich, dass es dort nicht so publik wird und meistens von den "millionen" von entwicklern gefixt wird. deswegen ist ms wohl ein wenig weniger sicher :-))
aber es gibt ja immer das automatische windowsupdate, man muss es nur nutzen...

gruss
freshi

ps: "...aber wieso lässt sich nicht wenigstens ein für allemal unterbinden, dass jemand anders als derjenige, der vor dem Rechner sitzt und ihn bedient, Zugriff bekommt.."
-> ich denke das es schon gehen würde, würde den anwender aber wahrscheinlich einschränken...


bei Antwort benachrichtigen
Rika Olaf19 „Microsoft Windows: Insecure by Design?“
Optionen

Korrekt wäre: "Insecure by Default", aber nicht "Insecure by Design". Letzteres ist für die ganze NT-Linie (NT4, 2K, XP, 2K3, Longhorn) schlichtweg nicht gültig. Für NT4 wurde schon bewiesen, dass sich daraus ein 100%iges C2-System bauen lässt, bei den Nachfolgern ist es logischerweise auch möglich. Gerade von NT4 zu 2K sind ja haufenweise Sachen bei Verschlüsselung und Authentifizierung hinzugekommen, die in Kombination mit den Rechten der Gruppe "eingeschränkten Benutzern" und einigen manuellen Verbesserung bei den Dateisicherheitsberechtigungen und ein paar versteckten Einstellungen auch zu einem absolut C2-konformen System führen. Man muss nur wissen, wie.

Und wenn Programme nicht mehr funzen wollen, weil die sich wie die Axt im Walde benehmen und sinnlos zum Testen in Ordner schreiben wollen, in denen sie nix zu suchen haben, oder Rechte anfordern, die sie nur aufgrunde ihrer schlampigen Programmierung benötigen (Zitat: Spiele brauchen keine Admin-Rechte - sie haben vollen Zugriff auf DirectX, Sound und alle notwendigen API-Funktionen!), dann gilt der Nickles'sche Grundsatz: Wer stinkt, fliegt raus!

bei Antwort benachrichtigen
Olaf19 Nachtrag zu: „Microsoft Windows: Insecure by Design?“
Optionen
@grossadmin
Du hast vollkommen recht - die Washington Post ist nicht gerade ein IT-Fachblatt. Watergate hin oder her :-)
Dennoch ist es denkbar, dass die den einen oder anderen IT-Spezialisten in ihren Reihen haben - ob Rob Pegoraro einer ist, vermag ich nicht zu sagen. Was mich an dem Artikel ein wenig störtist, dass nach einer verheißungsvollen Headline wesentlich kleinere Brötchen gebacken werden. Es ist also doch nicht die Gesamtarchitektur, die das System unsicher macht, sondern ungenaue Einstellungen - was der User jederzeit ändern kann, gewusst wie.

@freshi
> ich denke das es gehen würde, würde den anwender aber wahrscheinlich einschränken
Das ist der entscheidende Satz und genau das, was mich irritiert: DFÜ-Verbindung trennen und schon ist man sicher, okay - aber dann hat man auch kein Internet mehr. Was mich daran wundert ist: Warum kann das System nicht auseinanderhalten, ob der Mensch vor dem Computer irgendetwas macht, oder irgend jemand wildfremdes draußen in der Welt?

Deshalb meine etwas überspitzte Frage am Schluss des Ausgangspostings: Wozu braucht die Welt dann noch VNC oder PCAnywhere, wenn alle Betriebssysteme deren Funktionalität schon eingebaut haben?

@Rika
> Korrekt wäre: "Insecure by Default", aber nicht "Insecure by Design".
Ja, ich denke das trifft den Nagel auf den Kopf - siehe Antwort an den Grossadministrator.
Zum C2-Zertifikat habe ich übrigens diesen Artikel gefunden (bisschen abwärts scrollen) - gibt vielleicht noch bessere, aber das war es, was Google auf die Schnelle so hergegeben hat.


CU all
Olaf
Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
freshi74 Olaf19 „@grossadmin, freshi, Rika“
Optionen

hi olaf,

ich denke du suchst ein neues protokoll, das tcp/ip ablöst und deinen sicherheitsansprüchen genügt.
wie wär´s mit ner neuentwicklung! ;-)) würde es begrüssen wenn alles einfacher würde...

gruss
freshi

bei Antwort benachrichtigen
Grossadministrator freshi74 „@grossadmin, freshi, Rika“
Optionen

Das Dilemma ist natürlich folgendes: Das Internet ist eine gewachsene Struktur und die Kommunikation mittels Ports und TCP/IP würde heutzutage wohl keiner mehr so erfinden. Aber das kann man nun nicht mehr ändern, und deswegen sind alle Betriebssysteme gefährdet, sei es nun Windows, Linux, Unix oder MacOs.

bei Antwort benachrichtigen
Olaf19 Grossadministrator „@grossadmin, freshi, Rika“
Optionen

Da nennst Du das entscheidende Stichwort: Kommunikation. Das Internet ist in der Tat ein Kommunikationsmedium, es werden Daten gesendet und empfangen. Zwischen Informationen einerseits und Steuerung andererseits klafft nach meinem unmaßgeblichen Empfinden aber ein großer Unterschied.

Dass über das TCP/IP-Protokoll Datenpakete empfangen werden ist die eine Sache - dass diese Technik zugleich ermöglicht, den PC quasi fernzusteuern, z.B. Software zu installieren, die in der Folge allerlei Unfug in meinem System treibt, will mir immer noch nicht in den Kopf... warum kann das nicht "fein säuberlich" getrennt werden?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Dumistvieh Olaf19 „Microsoft Windows: Insecure by Design?“
Optionen

jap, sehe das genauso. die hersteller von software können sich einfach nicht mehr herausreden. dafür gibt es die windows nt reihe einfach schon zu lange. sie müssen endlich lernen den programmierstil von 9x abzulegen. bei anderen (multiuser-)betriebssystemen (und damit meine ich nicht nur gnu/linux) klappt es ja auch seit langem. für den enduser, der bis jetzt 9x benutzt hat, ist es eine umstellung sich mit zugriffsrechten herumschlagen zu müssen. ich denke mit xp hat man den stand erreicht, daß wirklich jeder einen rechner bedienen kann. einerseits gut, um die chancengleichheit zwischen den anfängern und "cracks" zu erreichen. der nachteil ist aber auch, daß einige (ich kenne selber ein paar) nicht bereit sind etwas zu lernen. es muß alles und sofort klappen. wenn nicht, wird halt gefragt. is ja an sich auch nicht schlimm, denn keiner weiß alles. aber ich habe auch keine lust vieles tausendmal vorzukauen, nur weil diejenigen nicht wollen. das finde ich, ist die eigentliche miesere. alle wollen etwas haben, aber viele sind nicht bereit zeit zum verstehen herzugeben. das gilt nicht nur bei computern. deshalb gehen auch viele versuche mit alternativen, nicht-ms systemen schief. und so folgen alle wie lemminge. die medien sagen "virenscanner druff" und alle machen es. man sagt "firewall druff" und alle machen es. schon fühlen sich alle sicher, weil sie ihr "allheilmittel" installiert haben. und prompt macht man einen riesenfehler: zu glauben, daß eigene system sei sicher. die eigene haustür ist ja auch nicht sicher.

bei spielen ist es meiner erfahrung nach so, daß die meistens admin-rechte für ihren kopierschutz benötigen. entfernte man diesenhiesen, klappte es plötzlich wunderbar. nicht bei allen, aber bei vielen. das galt früher und leider auch noch heute. die frage ist, wer denn interesse an einem sicheren system hat? höchstens der user, aber die industrie und geheimdienste leider nicht. und die geben den ton an.

ein bißchen offtopic: lustig finde ich immer die darstellung der bösen hacker/cracker in den medien - die wirklichkeit ist wohl ganz anders. irgendein jugendlicher vor einem fenster in einem stockdunklen raum, sodaß man nur seine silouhette erkennen kann. hockt vor dem rechner, seine rechte hand fliegt über die tasten während die andere die zigarette zum mund führt. dann erscheint ein monitorbild mit einem verzeichnislisting von c:\windows\system32 oder irgendeine logdatei. hauptsache es sieht nach was aus. zum schreien komisch. richtige hacker (behalten wir den begriff als kurze bezeichnung beider mal bei) sind wohl älter und erfahrener. das andere sind kiddies, die null ahnung haben. sie sitzen auch bestimmt vor einem offenen fenster, da sauerstoff wichtig ist. auf dem rechner indes ist wohl kein fenster(s) - kleines wortspiel :) - zu finden. der raum ist bestimmt auch nicht dunkel, da sie ja die tastatur erkennen möchten. demnächst haben sie eine schüssel unter dem stuhl für flüssige und feste angelegenheiten. das kommt bestimmt noch in den medien. und wasser als auch essen wird flüssig über zwei schläuche zugeführt, den sie in den mund nehmen können. die beide hände sind ja für tastatur und kippe "besetzt". so ein mist; wie kratzen die sich denn dann oder gar schlafen? verlassen sie ihre wohmung oder wurde sie mit dem stuhl am hintern geboren? fragen über fragen - mal rtl schreiben. die wissen eh immer alles *lol*

manche wünschten sich die redmonder-basis würde explodieren oder bill gates sterben. aber was wäre denn, wenn es microsoft von heute auf morgen nicht mehr geben würde? wären andere bereit, willens oder gar fähig diese lücke zu schließen? ich fürchte nicht und die frage stellen sich die wenigsten, die über ms fluchen. und wer flucht nicht :)


gruß
dumistvieh

--- wie immer: ALLE ANGABEN OHNE GEWEHR ÄH GEWÄHR!
bei Antwort benachrichtigen
Olaf19 Dumistvieh „jap, sehe das genauso. die hersteller von software können sich einfach nicht...“
Optionen

Geht jetzt nicht gegen Dich, Dumistvieh - nur mal ganz allgemein gesprochen:

> manche wünschten sich die redmonder-basis würde explodieren oder bill gates sterben. aber was wäre denn, wenn es microsoft von heute auf morgen nicht mehr geben würde?

Den Tod sollte man wirklich niemandem wünschen - einem Unternehmen nicht, und schon gar keinem Menschen. Das ist geschmacklos! Sachliche Kritik an Produkten, Unternehmens-Philosophie und Geschäftsgebaren muss erlaubt sein - aber dann darf man die sachliche Ebene auch nicht verlassen.

In diesem Zusammenhang möchte ich an den viel zu früh verstorbenen Nickles-VIP Polytaen erinnern: Überzeugter Linux-Anwender auf der einen Seite, aber immer fair gegenüber MS und seinen Usern auf der anderen Seite. Diese Haltung habe ich immer sehr bewundert und fand sie für uns alle vorbildlich.

Dass Microsoft mit seinen Windows-Betriebssystemen, Office-Modulen, IE / OE u.v.a. Industriestandards gesetzt und sich Quasi-Monopole erarbeitet hat, kann man für sich genommen noch nicht kritisieren. Das würde bedeuten, dem Konzern aus Redmond einen Vorwurf aus seinem Erfolg zu machen. Kritisieren kann man nur Fälle von Machtmissbrauch, wie sie aus einer derart dominanten Marktmacht leicht resultieren.

Ein Beispiel dafür siehe hier: "Microsoft blockiert Open-Source-Konferenz (Heise)".

> die frage ist, wer denn interesse an einem sicheren system hat? höchstens der user, aber die industrie und geheimdienste leider nicht.

Sind die Industrie und die Geheimdienste nicht genau so betroffen von unsicherer Software / Betriebssystemen?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Teletom Olaf19 „Microsoft Windows: Insecure by Design?“
Optionen

Microsoft Windows: Insecure by Design ist sicherlich falsch.

Die Fehlerwahrscheinlichkeit nimmt zu, je mehr Softwarekomponenten im System vorhanden sind, trifft eher zu.

Ein Beispiel ist ActiveX speziell beim Internetexplorer. ActiveX wird häufig als unsicher verpönt. Was ist aber ActiveX? Das sind Visual Basic Script, Java Script und Windows Scripting Host. Bietet u.a. Active Directory Unterstützung und Zugriffe auf Datenbanken (OLE DB SQL). Vielleicht irgendwie vergleichbar mit der Programmiersprache PHP und der Datenbank MySQL. Jedoch bezieht sich ActiveX mehr auf die Microsoft- Anwendungen.

Wer einen Browser ohne ActiveX verwendet, kann eben die entsprechenden Microsoft-Funktionen nicht benutzen.

Sicherlich ist die PHP-MySQL-Lösung für Datenbanken im Internet erst mal viel interessanter, weil PHP-MySQL als GNU-Paket sehr preiswert einzurichten ist, ActiveX kann man andererseits jedoch nicht von der Hand weisen, weil MS-Windows häufig zumindest mengenmäßig dominiert.

Eine entscheidende Frage hierbei ist, ob der Privatanwender eine Personal-Firewall verwendet oder nicht und wenn ja, welche Firewall man verwendet und wie man diese Software einstellt.

Eine Firewall ist nicht nur ein Programm, eine Firewall ist ein Konzept, wie schon häufig hier dargestellt wurde.

Werden Dienste (z.B. RPC / DCOM) mit Hilfe von Port-Blockierungen internetmäßig ausgeschaltet, verbaut man automatisch deren Verwendung über Internet.

Es kommt noch hinzu, dass der erwähnte "EselstreckDich" dazu verführt, viele Ports freizugeben.

Wichtig ist Folgendes:

Man muss immer davon ausgehen, dass es im Internet nie eine 100%ige Sicherheit gibt. Firewalldienst, Virenschutz, ständige Aktualisierungen und eine Backup-Planung sind wesentliche Ansatzpunkte. Vor allem sollte man sich überlegen, persönliche Daten geschützt möglichst offline abzulegen, wenn man im Internet tätig ist.

Gruß
Teletom

bei Antwort benachrichtigen
Olaf19 Teletom „Microsoft Windows: Insecure by Design ist sicherlich falsch. Die...“
Optionen

Hi Teletom!

Im Grunde genommen widerspricht sich der Autor ja selbst, denn das Versprechen aus der Headline, systemarchitektur-bedingte Schwächen von Windows-Systemen aufzudecken, wird ja in keiner Weise eingelöst. Dass die Default-Einstellungen im Vergleich bspw. zu MacOS so "lax" sind, hängt imho damit zusammen, dass MS mit allen seinen Produkten eine riesengroße Zielgruppe verfolgt - von Aldi-Kunden, der den ersten PC seines Lebens anschafft bishin zum Computer-Vollprofi, der aus handverlesenen Komponenten ein individuell zugeschnittenes Computersystem aufbaut. In diese Richtung tendiert auch Deine Aussage

> Die Fehlerwahrscheinlichkeit nimmt zu, je mehr Softwarekomponenten im System vorhanden sind, trifft eher zu.

Es ist klar, dass ein System, das per Default möglichst "alles" auf Anhieb können soll, mehr Angriffsflächen bietet als ein Quasi-Expertensystem und Nischenprodukt wie MacOS. Allein die Tatsache, dass dieses nur auf sündhaft teuren Original-Apple-Designer-PCs läuft, zeigt schon, dass die Zielgruppe im Vergleich zu Windows recht begrenzt sein muss.

Ein objektiver Vergleich der Systemarchitekturen wird wohl erst dann möglich sein, wenn alle drei BS-Varianten - Windows, Linux, MacOS - ungefähr den gleichen Marktanteil haben, idealerweise > 30%. Dann erst wird es für Malware-Programmierer überhaupt interessant, sich auch mal an MacOS zu vergehen...

Vorher wird es weiterhin so laufen, dass viele Macken in MacOS gar nicht auffallen bzw. ins Gewicht fallen, weil es keine Exploits dafür gibt. Erst wenn diese in größerer Zahl auftauchen, käme es zu einer ernsten Bewährungsprobe für dieses alternative Betriebssystem. Solange das nicht der Fall ist, wird ein objektiver Vergleich der Systeme kaum möglich sein.

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
basil Teletom „Microsoft Windows: Insecure by Design ist sicherlich falsch. Die...“
Optionen

ActiveX läuft auf dem Client, PHP auf dem Server. Der Vergleich beider ist also nicht nur schlecht, er ist absolut unzutreffend. Eventuell meintest Du ASP, ASP.NET welches mit PHP konkurriert.

bei Antwort benachrichtigen
Olaf19 basil „ActiveX läuft auf dem Client, PHP auf dem Server. Der Vergleich beider ist also...“
Optionen

Hi Basil!

Lassen sich eigentlich unter ActiveX zusammengefasste Komponenten wie VBS oder JavaScript auch einzeln aktivieren? Oder gibt es die z.B. für den Internet Explorer immer nur "im Paket"?

CU
Olaf

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Dumistvieh Olaf19 „ActiveX-Komponenten“
Optionen

http://www.gwdg.de/service/netze/www-server/iecontroller.html

:)

gruß
dumistvieh

--- wie immer: ALLE ANGABEN OHNE GEWEHR ÄH GEWÄHR!
bei Antwort benachrichtigen
Olaf19 Dumistvieh „ja gibt es dank den jungs bei heise...“
Optionen

Danke :-)

Die Welt ist ein Jammertal ohne Musik. Doch zum Glueck gab es Bach, Beethoven, Haendel und Goethe (Helge Schneider)
bei Antwort benachrichtigen
Teletom basil „ActiveX läuft auf dem Client, PHP auf dem Server. Der Vergleich beider ist also...“
Optionen

Genau, mir kommt es aber auf den Datenbankzugriff an. Deshalb formulierte ich "irgendwie vergleichbar", der zulässige Vergleich bezieht sich nur auf Datenbanken. ActiveX läuft auf dem Client. ASP und PHP müssen Softwarekomponenten auf dem Server haben.

ActiveX möchte ich jedoch als wichtigen Kritikpunkt hier anführen. Zumal ActiveX RPC/DCOM unterstützt und für diese Funktion beispielsweise Port 135 freigeschaltet sein muss. Dann hat man auch die Remote Access Möglichkeiten.

Gruß
Teletom

bei Antwort benachrichtigen
mgmax Olaf19 „Microsoft Windows: Insecure by Design?“
Optionen

@Teletom
...Dann hat man auch Remote Access Möglichkeiten

Und Blaster/Lovesan- Möglichkeiten

bei Antwort benachrichtigen